jairobel
GForum VIP
- Entrou
- Set 24, 2006
- Mensagens
- 13,098
- Gostos Recebidos
- 0
Foi descoberta no Chrome uma falha de segurança que expõe o navegador do Google a potenciais ataques por clickjacking. Uma equipa de analistas de segurança concluiu que este browser permite que sejam substituídos os links legítimos por outros à escolha dos atacantes.
Entretanto o Google informou do conhecimento da falha e que está já a trabalhar na correcção que resolverá o problema na versão do Chrome 1.0.154.43 e anteriores, sobre o Windows XP SP2.
Este tipo de ataque leva a que os utilizadores façam determinadas acções que não tinham intenções de as fazer, legitimando todo o ataque pois parte do browser por nossa iniciativa.
Surgiram posteriormente a esta descoberta, informações veiculadas pelo porta-voz da empresa de segurança da filial australiana, dando conta que a falha é extensiva a outros browsers e não apenas ao Chrome.
Contudo o chefe executivo, Nishad Herath, da empresa de segurança e consultadoria Novologica, afirmou que depois de executar o processo que gerou a prova de ataque descobriu que o Internet Explorer 8 (versão RC1 e Beta 2) e o Opera 9.63 (a última versão) não estavam expostos a esta falha de segurança. Concluiu então que esta falha estava a afectar o Chrome e o Firefox 3.0.5.
O que é clickjacking?
Não há uma explicação clara sobre o clickjacking, até por que Hansen e Grossman estão fazendo segredo dos detalhes mais profundos. Em entrevista ao Computerworld (EUA), Grossman resumiu: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu".
Em português, clickjacking permite que crackers escondam programas maliciosos abaixo de um botão legítimo em um portal legítimo.
Não confundir clickjacking com carjacking:Espi06:
Entretanto o Google informou do conhecimento da falha e que está já a trabalhar na correcção que resolverá o problema na versão do Chrome 1.0.154.43 e anteriores, sobre o Windows XP SP2.
Este tipo de ataque leva a que os utilizadores façam determinadas acções que não tinham intenções de as fazer, legitimando todo o ataque pois parte do browser por nossa iniciativa.
Surgiram posteriormente a esta descoberta, informações veiculadas pelo porta-voz da empresa de segurança da filial australiana, dando conta que a falha é extensiva a outros browsers e não apenas ao Chrome.
Contudo o chefe executivo, Nishad Herath, da empresa de segurança e consultadoria Novologica, afirmou que depois de executar o processo que gerou a prova de ataque descobriu que o Internet Explorer 8 (versão RC1 e Beta 2) e o Opera 9.63 (a última versão) não estavam expostos a esta falha de segurança. Concluiu então que esta falha estava a afectar o Chrome e o Firefox 3.0.5.
O que é clickjacking?
Não há uma explicação clara sobre o clickjacking, até por que Hansen e Grossman estão fazendo segredo dos detalhes mais profundos. Em entrevista ao Computerworld (EUA), Grossman resumiu: "Pense em qualquer botão em qualquer site. Podem ser os botões do Digg, banners de CPC, da Netflix.... A lista é quase infinita. Imagine que o ataque ‘sequestra’ esse botão, ou seja, o usuário clica no botão pensando estar tudo bem, mas na verdade ele clica no que o cracker escolheu".
Em português, clickjacking permite que crackers escondam programas maliciosos abaixo de um botão legítimo em um portal legítimo.
Não confundir clickjacking com carjacking:Espi06: